RODO w 2026: egzekwowanie wkroczyło w dojrzałą fazę

Od wejścia RODO w życie w maju 2018 roku łączna wartość nałożonych kar przekroczyła 4 miliardy euro. Jednak dopiero od 2022–2023 roku widać wyraźną zmianę jakościową: organy nadzorcze przeszły od pojedynczych, symbolicznych kar do systematycznych postępowań dotyczących fundamentalnych zasad ochrony danych. Rok 2025 i pierwsze miesiące 2026 przyniosły kolejne precedensowe decyzje, które wyznaczają kierunek egzekwowania na najbliższe lata.

Najważniejsze trendy egzekwowania w 2025–2026

1. Cookies i zgoda — wciąż na czele

Mechanizmy zgody na pliki cookie pozostają najczęstszym przedmiotem postępowań. CNIL (Francja), Garante (Włochy), APD (Belgia) i UODO (Polska) w 2025 roku prowadziły skoordynowane kampanie kontrolne dotyczące banerów cookie. Kluczowe ustalenia:

• Dark patterns: Brak równoważnego przycisku odmowy na pierwszym ekranie banera jest traktowany jako naruszenie art. 7 RODO (warunki ważności zgody). Wytyczne EDPB 3/2022 i decyzja CNIL z 2024 roku ugruntowały tę interpretację.
• Domyślne zaznaczenie zgód: Pre-checked checkboxy lub domyślnie aktywne kategorie cookie są kwalifikowane jako brak ważnej zgody — niezależnie od sformułowania banera.
• Niemożność wycofania zgody: Organy konsekwentnie nakładają kary tam, gdzie wycofanie zgody jest trudniejsze niż jej udzielenie (art. 7 ust. 3 RODO).

2. Transfery danych do USA — ciągłe napięcie

Mimo przyjęcia EU-US Data Privacy Framework (DPF) w lipcu 2023 roku, organy nadzorcze kontynuują kontrole transferów danych do USA. W 2025 roku:

• Kilka europejskich organów nadzorczych zakwestionowało transfery do dostawców chmurowych w USA, którzy nie są certyfikowani w ramach DPF lub korzystają z usług sub-procesorów spoza DPF.
• Organy zwracają uwagę na sytuację, w której DPF certyfikacja obejmuje podmiot główny, ale transfer faktycznie trafia do podmiotu grupy w USA nieobjętego certyfikacją.
• Google Analytics wciąż pozostaje przedmiotem postępowań w kilku krajach — pomimo wprowadzenia Google Analytics 4 i możliwości anonimizacji IP.

3. Prawa osób, których dane dotyczą — egzekwowanie eskaluje

Organy coraz częściej wszczynają postępowania z powodu naruszenia praw wynikających z art. 15–22 RODO:

• Prawo dostępu (art. 15): Niereagowanie na wnioski w terminie 30 dni lub udzielanie odpowiedzi niekompletnych — szczególnie w zakresie wskazania odbiorców danych.
• Prawo do usunięcia (art. 17): Kary za odmowę usunięcia danych po wycofaniu zgody, gdy brak jest innej podstawy prawnej.
• Zautomatyzowane podejmowanie decyzji (art. 22): Rosnące zainteresowanie systemami scoringu kredytowego, rekrutacyjnego i ubezpieczeniowego opartymi na AI — zwłaszcza w kontekście AILD i EU AI Act.

4. Bezpieczeństwo danych i naruszenia — wyższe kary za systemowe zaniedbania

Organy odeszły od podejścia „kara za samo naruszenie" na rzecz oceny, czy organizacja wdrożyła odpowiednie środki techniczne i organizacyjne (art. 32 RODO). W 2025 roku rekordowe kary w tym obszarze dotyczyły:

• Przechowywania haseł w postaci niezaszyfrowanej lub przy użyciu słabych algorytmów (MD5, SHA-1).
• Braku MFA dla kont z dostępem do danych wrażliwych.
• Nieograniczonego dostępu wewnętrznego do danych osobowych (naruszenie zasady minimalizacji dostępu).
• Opóźnień w zgłaszaniu naruszeń do organu nadzorczego (powyżej 72 godzin — art. 33 RODO).

5. Odpowiedzialność za AI i profilowanie

W 2025 roku organy nadzorcze zaczęły systematycznie badać zastosowanie AI w procesach przetwarzania danych osobowych. Kluczowe obszary:

• Modele językowe (LLM) trenowane na danych osobowych bez podstawy prawnej lub bez spełnienia obowiązku informacyjnego wobec osób, których dane zostały użyte do treningu.
• Systemy rekomendacyjne i targetowania reklamowego — ocena, czy stosowane profilowanie wymaga zgody czy może opierać się na prawnie uzasadnionym interesie (test równowagi).
• Deepfake i syntetyczne treści — pytanie o podstawę prawną tworzenia wizerunków osób bez ich zgody.

Największe kary w 2025 roku (przegląd)

Rok 2025 przyniósł kolejne znaczące decyzje organów nadzorczych w UE. Do najgłośniejszych należały postępowania dotyczące:

• Transferów danych do państw trzecich przez duże platformy technologiczne — kontynuacja spraw zapoczątkowanych decyzją irlandzkiego DPC w 2023 roku.
• Naruszenia zasady minimalizacji danych przez sektor finansowy — zbieranie danych wykraczających poza cel wynikający z umowy.
• Przetwarzania danych szczególnej kategorii (danych zdrowotnych) bez wyraźnej podstawy prawnej art. 9 RODO przez dostawców aplikacji zdrowotnych.

Co to oznacza dla Twojej strony internetowej w 2026 roku?

Na podstawie trendów egzekwowania, priorytetowe obszary do sprawdzenia na stronie internetowej:

• Baner cookie: Przycisk odmowy (lub równoważna opcja) musi być na pierwszym ekranie i tak samo widoczny jak przycisk akceptacji. Sprawdź, czy wycofanie zgody jest równie łatwe jak jej udzielenie.
• Google Analytics / zewnętrzne skrypty: Zweryfikuj, czy transfery danych do USA objęte są ważną podstawą (DPF, SCCs), i zaktualizuj politykę prywatności.
• Formularz kontaktowy: Sprawdź, czy obowiązek informacyjny (art. 13) jest spełniony przy każdym zbieraniu danych — czas przechowywania, prawa osoby, dane kontaktowe IOD (jeśli wyznaczony).
• AI na stronie: Chatboty i systemy rekomendacji wymagają osobnej klauzuli w polityce prywatności — podstawa prawna, profilowanie, prawo do sprzeciwu lub wyjaśnienia.
• Rejestr czynności przetwarzania: Art. 30 RODO — upewnij się, że wszystkie operacje na danych ze strony są w nim uwzględnione, w tym nowe integracje (CRM, marketing automation, chatboty).